一、概述
当地时间6月26日,名为“Gonjeshke Darande”的黑客组织在Twitter上发文称攻击了伊朗境内三家钢铁公司:Khouzestan Steel Company (KSC), Mobarakeh Steel Company (Isfahan) (MSC) 和 Hormozgan Steel Company (HOSCO)。同时发布的还有一段视频,展示了疑似KSC钢铁厂内部设备故障着火的片段。该黑客组织还声称对去年10月发生的伊朗加油站网络攻击事件负责,该攻击连续数天导致全国加油站的加油卡系统瘫痪。这导致一些观察家认为攻击旨在破坏伊朗政府的稳定,是伊朗和以色列之间以牙还牙的网络攻击的一部分。
图中提到了遭受攻击的三家钢铁公司隶属于IRGC(伊朗伊斯兰革命卫队)和Basji(伊斯兰武装力量动员队)。并表示,这次网络攻击是对伊斯兰共和国侵略的回应,并且经过精心设计,从而会保证无辜人员的安全。
视频来源地址:https://twitter.com/i/status/1541288345183158272
KSC的CEO在采访时回应“公司的一些系统遭遇到网络攻击,由于及时发现并采取了应急防护措施,攻击并没有成功,生产线没有受到任何损害。”对于黑客组织发布视频中显示的爆炸,他并未提及。并表示生产线没有遭到结构性破坏,该次事故也不会影响到整体供应链和用户,该线路已经投入使用,公司网站、信息渠道和短信系统经过短暂中断后已经得到解决。此前业务中断并非攻击导致,而是设施因为“技术问题”导致。
KSC公司的官方公告
具体最新消息可关注其官方频道:https://iGap.net/khouzestan_steel_co
Mobarakeh 和 Khouzestan Steel 的网站均已下线,但是他们表示其生产线没有受到严重的损坏,原因是由于电力和维修状态的限制,生产线在夜间会处于关闭状态,袭击发生时生产线处于非活动状态。
目前网络攻击影响了两个领域:生产和安全系统。
二、攻击背景
受地缘政治影响,该地区时常发生类似的针对国有工业部门的攻击事件,本次攻击显然是近期对该国战略工业部门的最大规模攻击之一。伊朗政府没有承认袭击造成的破坏或指责任何特定团体,只是定性为近几个月来袭击破坏该国服务的最新例子,加剧了该地区的紧张局势。“Gonjeshke Darande”黑客组织在发布的推文中称其攻击是有原因的:“这些企业受到国际制裁,尽管受到限制,但仍旧继续运营。”
Check Point的安全研究人员记录了他们对该事件的调查结果。他们分析确定该恶意软件是2021年针对伊朗国家铁路和政府系统的Meteor数据擦除的变种。
三、攻击技术及路线
根据被攻击的三家企业的描述,攻击发生在周日夜间到周一清晨,虽然具体攻击手段仍没有明确的答案,但有MSC员工称,攻击者应该是从公司的主服务器入侵到其整体生产系统内部的。
从攻击者发布的视频中来看,攻击目标是生产线的钢水包,其主要作用是承接钢水,进行浇注作业。攻击导致了钢水包中的钢水不受控制,不断累积并外溢,进而影响到周围的其他重要设备,最终导致事故的发生。要达到该攻击效果,攻击者需要获取DCS系统的操作权限并十分了解整体钢铁生产线流程,从攻击者发布的截图也可以看到DCS的整体操作控制界面。
从图中可以看出,攻击者可以操控整体生产流程的多个环节。图中橙色罐状的部分是各种催化剂的类型和使用情况,在其右侧的青色部分是温度、氧含量、碳含量等环境参数,左下方红色部分标识的就是钢水包的情况。
根据界面右上角的徽标判断,该软件由伊朗系统工程和自动化公司IRISA提供(https://www.irisaco.com/)。该公司的客户包括 Isfahan Mobarakeh Steel Company、 Hormozgan Steel Company、Khorasan Steel Company、Khouzestan Steel Company, Isfahan Steel Company, Sangan Khorasan Steel Company, Kaveh South Kish Steel Company 等。
一同公布的还有另外一张网络监控软件PRTG的屏幕截图,观察截图可获得如下信息:
1、PRTG图显示了组织内的资产概况。
2、当时正在使用的PRTG版本已经过时。
攻击者针对伊朗钢铁厂的攻击线路图如下:
根据对伊朗钢铁厂的攻击分析发现,攻击者通过病毒植入的方式攻击到信息域的业务服务器,以业务服务器作为跳板,获取了生产监控系统权限,控制钢铁生产流程。
四、攻击影响
本次攻击事件是近期有记录以来,针对伊朗战略工业部门的最大攻击之一。KSC称经过专家的研判,由于该次网络攻击所造成的技术性故障,整体生产线甚至可能会无限期停工。伊朗是中东地区最大的钢铁生产国家,在全球范围内也位列前十,本次攻击对伊朗的出口造成了重创。
五、钢铁行业脆弱性分析
钢铁行业一般存在如下脆弱性:
- 操作系统漏洞:由于软件的特殊性,为了保证稳定生产,很多生产电脑使用了过时的操作系统,例如windows XP。
- 工业控制系统漏洞:早期在产品设计和网络部署时,只考虑了功能性和稳定性,对安全性考虑不足。随着钢铁行业工业控制系统网络之间的互联互通以及设备的网联化,通过互联网攻击工业控制系统的可能性越来越高,数量攀升的SCADA、DCS、PLC漏洞成为了钢铁行业巨大的隐患。
- 工业网络漏洞:钢铁行业工业控制网络的设备分布于厂区各处,大多使用无线通讯方式来实现与调度中心的连接和数据交换。针对不安全的通讯传输、攻击者可以其作为攻击工业控制网络的入口对整个工业控制网络发起渗透和控制。
- 对外开放较多的服务:钢铁行业会通过工业互联网对外开放较多的服务,攻击者可以通过扫描发现并利用开放服务中存在的漏洞和缺陷攻击到环境中的业务服务器获取关键资料以及作为跳板攻击到更深的生产网络。
- 账号口令安全:各种业务系统的使用都是需要输入账户口令,攻击者可以通过弱口令扫描、嗅探、钓鱼、社工等方式获取内部用户的口令,从而获取关键数据和系统/设备的控制权。
- 移动介质攻击:当不安全的移动介质连接到工程师站或者操作员站时,移动介质中的恶意代码会自动运行,对控制设备下发恶意指令或更改参数,造成安全事故。
- 工业通讯协议的缺陷:常见的工控协议Modbus、DNP3、OPC等缺乏身份认证、授权以及加密等安全机制、利用中间人攻击捕获或篡改数据,向生产设备下达恶意指令或者向监控设备上传虚假数据,导致生产系统失控。
六、防护建议
- 系统层面
钢铁的生产工艺主要包括炼铁、炼钢、铸钢、热轧四个步骤。
钢铁在生产过程中很早就采用计算机实现生产过程自动化,并逐步建成生产管理、能源管理等不同类型的信息系统。在实现信息系统与控制系统融合时,应按国家工控安全法律法规建设企业工控系统防护体系,完善安全措施,降低安全风险。
实施过程中应建立深度防御体系,实现网络的横向分层、纵向隔离、计算机环境防护、网络边界隔离、通信网络、用户和数据进行全面控制,以“分区分域、整体保护 、积极预防、动态管理”为总体策略,围绕“纵深防御+白环境”,打造系统安全技术体系。
- 管理层面
- 关键系统针对USB设备实施白名单控制,禁止非法USB设备接入。
- 在所有控制器上设置密码保护。
- 针对关键设施的人员实施严格的最小权限管理,关键系统需要多人员身份认证。
- 定期执行系统补丁更新操作,避免漏洞对系统产生威胁。
- 增强恶意代码的管理机制,对临时接入系统的设备实施安全预防措施。
- 制定应急预案,包括但不限于策略与规程、培训、测试与演练、处理流程、监控措施、事件报告流程、资源以及响应计划等。
- 强化资产管理,定期安全巡检、检查资产运行状态以及安全评估,及时发现风险。
- 培训方面
- 通过培训,培养员工的安全意识。
- 通过演练,提升员工的安全事件处理能力。
- 技术维度
- 企业出口以及网络边界部署网络防火墙,针对关键资产,实施对外通讯白名单机制。
- 本地主机安装正版杀毒软件,并及时更新病毒库,周期性进行病毒查杀,关键主机部署主机卫士,实施行为、程序、进程、数据的白名单机制。
- 增加安全监测与预警,及时发现针对关键系统的异常访问行为,做到及时有效处理,实现对安全事件的预警、检测、响应的动态防御体系。
- 通讯和数据传输保护:使用高安全级别的网络通讯协议,针对安全性较差的通讯协议,可以利用安全通道封装,实现非安全协议的传输安全性。
此外,安全措施并不能完全避免攻击事件的发生,我们建议在攻击事件发生前建立完备的应急响应预案,定期对系统、数据进行备份。在攻击事件发生时及时切断外部攻击源的连接。在攻击事件发生后执行应急响应预案内容。快速恢复钢铁生产的正常运行,降低损失。
七、绿盟科技钢铁行业安全解决方案
绿盟科技工业互联网安全解决方案,是基于全场景、可信性、实战化的智慧安全3.0的理念,在满足客户合规需求的前提下,切实为客户解决工业网络安全风险。
针对钢铁行业,绿盟科技总体技术安全防护框架如下,覆盖钢铁企业现场设备层、现场控制层、过程监控层、生产管理层、信息管理层,综合对工业系统深度理解及通讯协议的深度解析,应用机器学习技术结合导轨式硬件,深入工业现场,建立工控网络安全基线,发现工业网络里的异常行为和异常操作;应用工业协议DPI技术,对工业网络流量进行深度过滤与边界防护;应用静态漏洞扫描技术,发现并管理工业资产脆弱点;应用白名单和主机加固技术,防护工业主机安全,配合USB防护装置,保障主机对移动介质数据的安全读写;应用一体化专业工具,对工业系统进行合规检查,并通过工业网络安全预警平台对生产网络进行全场景安全感知并和其他工业安全设备整体联动,将网络安全风险拒之门外。绿盟钢铁行业解决方案,遵循适度建设与生产优先的设计原则,深度适配钢铁生产场景,从网络安全的角度保障工业生产的稳定、连续运行。
具体方案请咨询绿盟科技工控安全产品经理:yinyawei@nsfocus.com。
关于绿盟科技格物实验室
绿盟科技格物实验室专注于工业互联网、物联网和车联网三大业务场景的安全研究。实验室以“格物致知”的问学态度,致力于以智能设备为中心的漏洞挖掘和安全分析,提供基于业务场景的安全解决方案。积极与各方共建万物互联的安全生态,为企业和社会的数字化转型安全护航。
参考链接
[3]https://blog.cyble.com/2022/06/29/irans-steel-production-impacted-by-cyberattack
[5]https://wenku.baidu.com/view/e0d8a3a2ef3a87c24028915f804d2b160b4e86ac.html
[6]https://techmonitor.ai/technology/cybersecurity/iran-steel-cyberattack-israel
版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。